 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Приказ о назначении ответственных лиц за обеспечение защиты информации
|
|
Методические рекомендации органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных
Москва
Содержание
1. Сводный перечень организационно-распорядительных документов, регламентирующих организацию работ в органах исполнительной власти по защите конфиденциальной информации и персональных данных. 4
2. Приказ о назначении ответственных лиц за обеспечение защиты информации. 9
3. Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. 11
4. Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн. 13
5. Приказ о создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию.. 14
6. Приказ о создании комиссии по классификации информационных систем персональных данных. 16
7. Приказ о выделении помещений для обработки конфиденциальной информации. 18
8. Приказ о выделении помещений для обработки персональных данных. 21
9. Приказ о назначении администратора безопасности средств защиты конфиденциальной информации и персональных данных. 24
10. Инструкции по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в органах исполнительной власти и их подведомственных учреждениях. 25
11. Положение о порядке организации и проведения работ по защите конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях. 32
12. Положение о порядке обработки и обеспечении безопасности персональных данных в органах исполнительной власти и их подведомственных учреждениях. 48
13. Инструкции о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации информационных систем персональных данных в органах исполнительной власти и их подведомственных учреждениях. 57
14. Руководство пользователя по обеспечению безопасности ИСПДн. 64
в органах исполнительной власти и их подведомственных учреждениях. 64
15. Руководство администратора по обеспечению безопасности ИСПДн в органах исполнительной власти и их подведомственных учреждениях. 72
16. Журнал учета съемных носителей конфиденциальной информации (персональных данных) 77
17. Журнал регистрации и учета обращений субъектов персональных данных. 78
18. Журнал учета средств криптографической защиты информации. 79
19. Журнал учета ключевых носителей. 80
20. Журнал учета ключевых носителей. 81
21. Журнал учета ключевых носителей. 82
22. Перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему в органах исполнительной власти и их подведомственных учреждениях. 83
23. Перечень автоматизированных и информационных систем, обрабатывающих конфиденциальную информацию и персональные данные органа исполнительной власти. 88
24. Список лиц, допущенных в защищаемое помещение. 89
25. Список лиц, допущенных к работе на АС (ИСПДн) 90
26. Список сотрудников, допущенных к работе с персональными данными. 91
27. Акт классификации автоматизированной системы, предназначенной для обработки конфиденциальной информации. 92
28. Акт классификации информационной системы персональных данных. 94
29. Акт установки средств защиты информации на объекте вычислительной техники - автоматизированное рабочее место. 96
30. Акт об уничтожении персональных данных. 98
31. Модель угроз безопасности информации и модели нарушителя в органах исполнительной власти и их подведомственных учреждениях. 99
32. Частная модель угроз безопасности персональных данных органа исполнительной власти. 145
33. План мероприятий по технической защите конфиденциальной информации и персональных данных в органах исполнительной власти и их подведомственных учреждениях. 176
34. План внутренних проверок состояния защиты конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях. 186
35. План внутренних проверок состояния защиты персональных данных в органах исполнительной власти и их подведомственных учреждениях. 189
36. Матрица доступа сотрудников к сведениям конфиденциального характера (персональным данным) 192
37. Описания конфигурации и топологии АС (ИСПДн) в органах исполнительной власти и их подведомственных учреждениях. 194
38. Схема расположения объекта информатизации относительно границы КЗ, размещения АС и ЗП относительно контролируемой зоны, топологической схемы АС, схем коммуникаций, электропитания и заземления объекта. 201
39. Технический паспорт объекта информатизации. 207
40. Технический паспорт защищаемого помещения. 211
41. Технический паспорт информационной системы персональных данных. 215
42. Заключение о возможности эксплуатации средств защиты информации в информационной системе персональных данных. 222
43. Уведомление об обработке (о намерении осуществлять обработку) персональных данных. 223
44. Раздел должностных инструкций (должностного регламента) сотрудников имеющих доступ к ИСПДн, в части обеспечения безопасности ПДн. 225
45. Письменное согласие субъектов персональных данных на обработку их персональных данных. 226
46. Требования по защите информации АС от несанкционированного доступа. 232
47. Основные методы и способы защиты персональных данных от несанкционированного доступа в зависимости от класса информационной системы.. 235
48 Типовая форма шаблона содержания персональных данных, определенных оператором.. 245
Сводный перечень организационно-распорядительных документов, регламентирующих организацию работ в органах исполнительной власти по защите конфиденциальной информации и персональных данных
| № п/п | Наименование документа | Основание | КИ | ПДн | Примечание |
| Приказы | |||||
| Приказ о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн | ФСТЭК | + | + | ||
| Приказ о назначении работника (структурного подразделения), ответственного за выполнение работ по технической и криптографической защите ПДн | ФСБ | + | В случае использования СКЗИ | ||
| Приказ о составе комиссии по классификации автоматизированных систем | ФСТЭК | + | |||
| Приказ о составе комиссии по классификации информационных систем персональных данных | + | ||||
| Приказ о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн (в соответствии с тем в каких отделах, подразделениях организации обрабатываются ПДн). Приложение: список допущенных сотрудников | Роскомнадзор, ФСТЭК | + | + | ||
| Приказ о назначении администраторов безопасности СЗ конфиденциальной информации, в том числе ПДн в целом и прикладных администраторов | ФСТЭК | + | + | ||
| Приказ об утверждении мест хранения материальных носителей персональных данных | Роскомнадзор | + | В случае неавтоматизированной обработке ПДн | ||
| Приказ о назначении комиссии по уничтожению документов с ПД | Роскомнадзор | + | |||
| Приказы (на этапе ввода в эксплуатацию): на проектирование объекта информатизации и назначение ответственных исполнителей: на проведение работ по защите информации; о назначении лиц, ответственных за эксплуатацию объекта информатизации; на обработку в АС (обсуждение в ЗП) конфиденциальной информации | ФСТЭК | + | |||
| Инструкции | |||||
| Инструкция по порядку учета и хранению съемных носителей конфиденциальной информации | ФСТЭК | + | + | ||
| Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе персональные данные | ФСТЭК | + | + | ||
| Положения | |||||
| Положение о порядке организации и проведения работ по защите конфиденциальной информации или приложение к руководству по защите информации от утечки по техническим каналам | ФСТЭК | + | + | ||
| Положение о порядке обработки и обеспечении безопасности персональных данных | ФСТЭК, Роскомнадзор | + | |||
| Положение о подразделении, осуществляющем функции по организации защиты персональных данных | ФСТЭК | + | При наличии | ||
| Положение (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и средств СЗПДн | ФСТЭК | + | + | ||
| Руководства | |||||
| Руководство пользователя по эксплуатации технических и программных средств защиты конфиденциальной информации | ФСТЭК | + | + | ||
| Руководство администратора по эксплуатации технических и программных средств защиты конфиденциальной информации | ФСТЭК | + | + | ||
| Руководство пользователя по обеспечению безопасности ИСПДн | ФСТЭК | + | |||
| Руководство администратора по обеспечению безопасности ИСПДн | ФСТЭК | + | |||
| Журналы | |||||
| Журнал учета бумажных и съемных носителей конфиденциальной информации, в том числе ПДн | ФСТЭК | + | + | ||
| Журнал регистрации и учета обращений субъектов персональных данных | ФСТЭК | + | Возможно ведение в электронной форме | ||
| Журнал ознакомления ответственных за обеспечение безопасности ПДн, за выполнение работ по защите ПДн под расписку с Типовыми требованиями и другими документами, регламентирующими организацию и обеспечение безопасности ПДн при их обработке в ИСПДн | ФСБ | + | |||
| Журнал учета криптосредств, эксплуатационной и технической документации к ним | ФСБ | + | В случае использования СКЗИ | ||
| Журнал учета ключевых носителей | ФСБ | + | В случае использования СКЗИ | ||
| Журнала учета персональных данных для пропуска субъекта персональных данных на территорию оператора | ПП | + | При неавтоматизированной обработке | ||
| Перечни | |||||
| Перечень используемых сертифицированных технических средств защиты информации (всех ТЗИ, так как все должны быть сертифицированы) | ФСТЭК | + | + | ||
| Перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему. | ФСТЭК | + | + | ||
| Перечень АС и ИС, обрабатывающих конфиденциальную информацию и персональные данные | ФСТЭК | + | + | ||
| Перечень эксплуатационной и технической документации, применяемых средств защиты информации | ФСТЭК | + | + | ||
| Перечень носителей персональных данных | ФСТЭК | + | |||
| Списки | |||||
| Список помещений, в которых разрешена обработка конфиденциальной информации | ФСТЭК | + | + | Приложение к приказу | |
| Утвержденный список лиц, допущенных в ЗП | ФСТЭК | + | + | ||
| Утвержденный список лиц, допущенных к работе на автоматизированных системах (АС), также в ИСПДн | ФСТЭК | + | + | ||
| Утвержденный список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей | ФСТЭК | + | |||
| Акты | |||||
| Акт классификации АС | ФСТЭК | + | |||
| Акт классификации ИСПДн и лист ознакомления сотрудников, в части касающейся | ФСТЭК | + | |||
| Акт об уничтожении персональных данных субъекта (ов) персональных данных (в случае достижения цели обработки) (как в информационных системах, так и на бумажном носителе) | Роскомнадзор | + | в случае достижения цели обработки | ||
| Модели | |||||
| Модель угроз безопасности информации | ФСТЭК | + | |||
| Модель нарушителя | ФСТЭК | + | |||
| Частная модель угроз безопасности ПДн | ФСТЭК | + | |||
| Планы | |||||
| План мероприятий по технической защите информации | ФСТЭК | + | + | ||
| План мероприятий по защите персональных данных | ФСТЭК | + | |||
| План внутренних проверок состояния защиты конфиденциальной информации | ФСТЭК | + | |||
| План внутренних проверок состояния защиты персональных данных | ФСТЭК | + | |||
| Планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации | ФСТЭК | + | + | ||
| Другие | |||||
| Политика информационной безопасности органа исполнительной власти | ФСТЭК | + | + | ||
| матрица доступа персонала к сведениям конфиденциального характера и разграничение доступа в соответствии с матрицей | ФСТЭК | + | + | ||
| Описание конфигурации и топологии АС (ИСПДн), физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки ПДн | ФСТЭК | + | + | ||
| Условия расположения объекта информатизации относительно границы КЗ | ФСТЭК | + | + | ||
| Технический паспорт объекта информатизации | ФСТЭК | + | |||
| Технический паспорт на защищаемое помещение | ФСТЭК | + | |||
| Ведомость приема зачетов по знанию действующего законодательства у лиц, допущенных к автоматизированной обработке конфиденциальной информации | ФСТЭК | + | |||
| Заключение о готовности СЗИ к эксплуатации | ФСТЭК | + | + | ||
| Копия уведомления об обработке персональных данных | Роскомнадзор | + | |||
| Разделы должностных инструкций (должностного регламента) сотрудников имеющих доступ к ИСПДн, в части обеспечения безопасности ПДн | Роскомнадзор | + | |||
| Типовые формы документов, предполагающие или допускающие содержание персональных данных | Роскомнадзор | + | |||
| Копии договоров, заключённых между оператором и субъектом по основным направлениям деятельности, подтверждающего согласие субъекта персональных данных на их обработку | Роскомнадзор, 152-ФЗ | + | Если имеются | ||
| Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма) | Роскомнадзор, 152-ФЗ | + | |||
| Распечатка (копия) шаблона содержания персональных данных (формы и поля заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку | Роскомнадзор, 152-ФЗ | + |
Приказ о назначении ответственных лиц за обеспечение защиты информации
На бланке органа исполнительной власти города Москвы
ПРОЕКТ ПРИКАЗА
Дата публикования: 2015-04-10; Прочитано: 8186 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
